Google blokuje Xiaomi ze swojej platformy z powodu incydentu związanego z bezpieczeństwem

Xiaomi Surveillance Cameras Security Bug

Ludzie mają tendencję do przesadnego reagowania na wiadomości dotyczące cyberbezpieczeństwa od czasu do czasu, szczególnie gdy incydent dotyczy jednego z coraz większej liczby urządzeń IoT, które stają się integralną częścią naszego codziennego życia. Czasami badacze bezpieczeństwa odnajdują luki w tych gadżetach, które często tworzą apokaliptyczne nagłówki i prognozy zbliżającego się losu. W niektórych przypadkach jednak uwaga mediów jest całkowicie nieuzasadniona, ponieważ luka jest trudna do wykorzystania, a atak na wolności jest niepraktyczny.

Ostatnio ludzie mówią o błędzie w jednej z tanich kamer monitorujących Xiaomi. Przyciągnął sporo raportów, zarówno z wyspecjalizowanych, jak i głównych serwisów informacyjnych. Spróbujemy teraz dowiedzieć się, czy cała brouhaha jest uzasadniona.

Mieszanie kanałów wideo może mieć poważne konsekwencje dla prywatności

Pierwszą rzeczą, którą powinniśmy prawdopodobnie wspomnieć, jest to, że błąd nie został wykryty przez badacza bezpieczeństwa. Został ujawniony w ubiegłym tygodniu przez użytkownika Reddit o pseudonimie Dio-V, który kupił tanią kamerę IP z Internetu. Wspomniana kamera to Xiaomi Mijia 1080p - pozornie idealne rozwiązanie dla każdego, kto próbuje uzyskać nadzór wideo przy ograniczonym budżecie. Oprócz atrakcyjnej ceny około 20 USD, Mijia 1080p oferuje również integrację z Google Home i Alexą Amazon.

Właściciel Google Home, Dio-V, chciał podłączyć nową kamerę Xiaomi do swojej sieci i zobaczyć, jak to działa. Podłączył go do swojego urządzenia Nest i próbował uzyskać dostęp do kanału wideo. Zamiast jednak zobaczyć znajomy pokój, zobaczył nieruchome zdjęcie domu kogoś innego. Zdziwiony, odświeżył kanał i przywitał go kolejny nieruchomy obraz, tym razem z domu innej osoby.

Znaczniki czasu na zdjęciach sugerują, że kamery, na które patrzył Dio-V, były zlokalizowane w różnych częściach świata. Były to jednak wszystkie aparaty Xiaomi Mijia 1080p, co dało Dio-V całkiem niezłe pojęcie o tym, gdzie leży błąd.

Podzielił się swoimi odkryciami na Reddicie , a wątek zaczął się szybko rozprzestrzeniać. To nie powinno być naprawdę niespodzianką.

Google zawiesza integrację produktów domowych Xiaomi z powodu błędu

Błąd wykryty przez Dio-V był niezwykle poważny. Niektóre z wyciekających zdjęć zostały uszkodzone, ale mimo to luka w zabezpieczeniach oznaczała, że wyciekły zdjęcia niczego niepodejrzewających ludzi, którzy przebywali w zaciszu własnego domu. Co więcej, podczas gdy wykorzystywanie innych luk w zabezpieczeniach Internetu Rzeczy często wymaga jakiejś formy „hakowania, zgadywania haseł lub skanowania Internetu w poszukiwaniu źle skonfigurowanych sieci, w przypadku taniej kamery IP Xiaomi błąd pojawia się w momencie, gdy użytkownik weźmie urządzenie po wyjęciu z pudełka. Z tego powodu Google nie czekało na drugie zaproszenie i natychmiast zawiesiło wszystkie integracje Xiaomi Mi Home z Google Home, pomimo faktu, że chiński gigant elektroniczny nie potwierdził istnienia problemu w tym czasie.

Później Xiaomi przyznało, że błąd był prawdziwy. Było to spowodowane aktualizacją pamięci podręcznej wdrożoną 26 grudnia, która została zaprojektowana w celu poprawy jakości przesyłania strumieniowego aparatu. Według oświadczenia cytowanego przez Android Police luka miała ograniczony wpływ. Najwyraźniej Xiaomi odkryło, że dotyczy to tylko 1044 kamer, a spośród nich tylko ci, którzy mieli słabe połączenie sieciowe, mogliby pokazać obrazy domów innych ludzi. Sprzedawca przeprosił za problem i zapewnił użytkowników, że problem został już rozwiązany. Jednak to, czy Google przywróciło integrację Xiaomi Mi Home, pozostaje na razie nieznane.

W tym konkretnym przypadku możemy śmiało powiedzieć, że uwaga przyciągnięta przez ten incydent jest całkowicie uzasadniona. Co gorsza, jest to dowód na to, że im bardziej świat się łączy, tym więcej takich błędów będziemy świadkami. Xiaomi nie jest pierwszym dużym dostawcą, który dowiedział się, że jego produkty mogą zagrozić prywatności ludzi i możesz być pewien, że nie będzie to ostatni. Jest to coś, o czym powinieneś pomyśleć przed podłączeniem kolejnego gadżetu nowości do domowej sieci Wi-Fi.

January 9, 2020

Zostaw odpowiedź